Introducción a la sincronización del directorio en Apple Business Manager
Puedes usar OpenID Connect (OIDC) con Apple Business Manager para sincronizar las cuentas de usuario con lo siguiente:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (PI)
Algunos PI también pueden usar el Sistema de administración de identidades entre dominios (System for Cross-domain Identity Management, SCIM).
Nota: Puedes sincronizar con Google Workspace, Microsoft Entra ID o tu PI, pero solo uno a la vez.
Antes de empezar
Antes de sincronizar Google Workspace, Microsoft Entra ID o tu PI, considera lo siguiente:
No se admite la sincronización de grupos de usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Agrega y verifica un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Ten a tu disposición un administrador con permisos para editar Google Workspace, Microsoft Entra ID u otra configuración de PI.
Apple Business Manager requiere que el atributo que se use para la cuenta administrada de Apple sea único. Este suele ser la dirección de correo electrónico. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple Business Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
Cuando configures la conexión inicial, debes usar la dirección de correo electrónico de un usuario con la función de administrador o administrador de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro PI con el que estés sincronizando.
Requisitos específicos de IdP
Cuando enlaces con Microsoft Entra ID:
Para usar OIDC con Apple Business Manager, tu organización no debe tener el mismo inquilino de Microsoft Entra ID que ninguna otra organización de Apple Business Manager. Si quieres usar OIDC para tu organización, ponte en contacto con el administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que es exactamente igual que el de una cuenta de usuario existente que tiene la función de administrador o administrador de personas, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios.
Cuando enlaces con un PI que no sea de Google Workspace ni de Microsoft Entra ID, debes tener la siguiente información:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear la cuenta administrada de Apple del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
Cambios automáticos
Controla los cambios de cuenta de usuario y sincroniza automáticamente estos cambios con Apple Business Manager.
Elimina automáticamente las cuentas administradas de Apple cuando las cuentas de usuario correspondientes se eliminan en Google Workspace, Microsoft Entra ID o tu PI.
Cuando se sincroniza una cuenta de usuario con Apple Business Manager, la función predeterminada es de Personal. Una vez finalizada la sincronización, solo se puede editar el atributo Funciones de una cuenta de usuario. Este atributo se almacena con la cuenta de usuario en Apple Business Manager y no se vuelve a escribir en Google Workspace, Microsoft Entra ID o tu PI.
La información de cuenta sincronizada se agrega como de solo lectura hasta que desactives la sincronización. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos (como los nombres de usuario).
Nota: La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios.
Acerca del ID personal
Para identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC en Apple Business Manager, se genera un ID personal automáticamente para esa cuenta de usuario.
Si modificas el ID personal en Apple Business Manager de una cuenta de usuario sincronizada anteriormente, esa cuenta de usuario ya no estará enlazada con Google Workspace, Microsoft Entra ID o tu PI. Si quieres volver a conectar la cuenta de usuario, debes resolver el conflicto del ID personal.